20CN网络安全小组论坛 - 病毒专区 - ！！！网络蠕虫病毒异常活跃！！！！！！！！！！！！！！！！！！

论坛: 病毒专区标题: ！！！网络蠕虫病毒异常活跃！！！！！！！！！！！！！！！！！！

作者: BrideX [bridex]

论坛用户

网络蠕虫病毒异常活跃

发布日期：2004-06-02

千龙网

　　趋势科技全球防毒研发暨技术支持中心--TrendLabs 5月共发出248个病毒警报，其中有 121 个病毒警报是网络蠕虫，换句话说几乎有近一半（48.8％）的病毒警报是网络蠕虫造成的。另外，特洛依木马及后门程序分列二、三名，特洛依木马共占 65个，所占比例为 26.2％;后门程序共 27个，占了10.9％。趋势科技表示：蠕虫除了以电子邮件作为典型传播渠道外，也可能使用后门程序和特洛依病毒与黑客工具结合来窃取信息。

　　蠕虫引发的疫情从每月一次到每周一次

　　趋势科技资源防毒工程师Jamz Yaneza 表示：「从1988 年第一只蠕虫 Morris 现身以来，过去几年共计有 18 次的病毒警戒是蠕虫激活的，也就是说平均每个月至少有一次重大网络蠕虫爆发。」但是情况在今年初发生了逆转， Jamz 解释：「仅2004 年第一季，趋势科技 TrendLabs 就发布了 12 次病毒警报，这些由 MYDOOM, NETSKY, 和 BAGLE等蠕虫引发的灾情，造成平均每周有一次灾情爆发。」

　　趋势科技 TrendLabs 表示：「5月的蠕虫采用更高深的技巧，它们学习过去恶意程序得逞的行径、不易察觉的诡计和攻击最新的漏洞。」震荡波就是最好的例子，不过这个造成英航航班延迟10分钟起飞、40架达美航空班机停飞、英国海岸防卫队19个控制中心受袭的病毒，并没有进入感染率前十大，反而是PE_ELKERN.D 这只两年前的老病毒卷土重来，登上 5 月感染率冠军。

　　病毒间交叉感染，引发老病毒重现江湖，新病毒搭顺风车

　　PE_ELKERN.D病毒曾在 2001年 Klez荼毒全球时，伪装 Klez解毒工具，而今卷土重来的幕后黑手是资格更老，源于1999年的PE_FUNLOVE.4099。趋势科技 TrendLabs 表示：病毒间的交叉感染，可能形成IT 部门更棘手的安全管理问题。趋势科技 TrendLabs 资深防毒顾问 Jamz Yaneza 表示：「病毒之间形成了非正式的结盟，感染 PE_FUNLOVE.4099 者，可能同时感染 PE_ELKERN.D，而PE_FUNLOVE.4099 又可能是因为感染WORM_BRAID.A 和WORM_WINEVAR.A 这两个病毒，所引发的副作用。」历史悠久长达四年多的FunLove病毒-可快速通过网络散播，但它本身并不具备发电子邮件的功能，而是使用诸如共享或网络磁盘驱动器等网络联机来规避电子邮件的网关防护，以便在局域网络(LAN)中散布。在清除的过程中，如果有任何一只侥幸存活，此病毒便可重新感染整个网络。这种顽强的病毒疫情爆发，凸显出完整之各层级计算机病毒防护以及病毒预警功能的重要性，而非只是桌上型计算机或是网关端的防护而已。

　　根据市调分析机构 Gartner Group 于4月所做的分析指出，2003年有25％的网络攻击事件来自已知漏洞。这不免让人忧心病毒之间互相联手攻击的机率将增高，Jamz 提醒：「没有更新防毒软件的用户很容易成为病毒或蠕虫交互感染的高危险群。」最近的例子是震荡波作者刚被逮捕，就传出病毒WORM_DABBER.A 给所有震荡波病毒感染机器再补一枪的恶行。如果你曾被 WORM_SASSER.A感染，而且置之不理，那么 Dabber 病毒就是给不注重安全的偷懒者的另类惩罚，它会利用 Sasser 留下的后门散播。 IT管理者如果发现公司内有谁中了 Dabber，那可以肯定的是他也中了震荡波。

　　网络病毒千年不腐，主动侦测避免漏网之鱼

　　交叉感染的情形并不会只针对近日的病毒，如果你感染了 WORM_FUNBAG.GEN这只PE_FUNLOVE.4099和 WORM_BAGLE.H的综合体，那么你可能有 4-5 年没有更新防毒软件了，因为PE_FUNLOVE.4099是1999年现身的老病毒，一般现行的防毒软件足以与其抗衡。趋势科技表示：「网络蠕虫似乎没有所谓的有效期限，特别是在企业网络中，如果有一人没有更新病毒码或填补漏洞，该网域所有的机器都变成任蠕虫宰割的目标。」因此具有漏洞侦测与主动防御能力的企业安全系统，可以弥补企业在实施安全政策的力不从心。

　　在广大的家庭使用者之中有数以百万缺乏防毒保护或无法更新病毒码的人，因此似乎无法摆脱网络病毒的长期骚扰，这些病毒偶尔还是会溜进企业的网络中，使其瘫痪。

　　趋势科技网络病毒墙NetWork VirusWall 在主动防御与漏洞侦察方面好评不断，在Sasser、Wallon、AGOBOT网络病毒爆发期间，广受企业好评。

　　除了网络大量繁殖，蠕虫也开始着手破坏文件

　　相较于趋势科技 TrendLabs 公布的4月份病毒感染报告中含有161个蠕虫， 5 月的121个蠕虫数量略为下降，然而这并不表示网络蠕虫的威胁也跟着降低了。过去蠕虫为了在网络上大量繁衍，因此将从通讯簿里找名单下毒视为标准配备，绝大多数的网络病毒只会让终端用户感觉网络联机速度很慢，其余并没有什么破坏的举动，但 5 月激活中度风险警戒的Wallon，除了自通讯簿里大量散发病毒邮件外，还会自动执行远程下载的病毒文件，覆写 Media Player原始档，导致必须重新安装才可使用。

　　趋势科技表示：我们无法预知网络蠕虫会进一步采取哪些攻击，但可以肯定的是 eMail、共享资料夹等网络资源仍然会是其滋生蔓延的温床，而以破坏文件资料等作为更强的攻击火力是可以预期的。

NETSKY&MYDOOM....

地主发表时间: 04-06-05 13:28

论坛: 病毒专区